Indris Studio
Acuerdo de tratamiento de datos personales
Condiciones de tratamiento de datos personales para el servicio y la plataforma indris.studio.
Version: 19/03/2026
Prevalece la versión francesa
Esta versión en español se facilita únicamente por comodidad. En caso de duda, discrepancia o contradicción entre la versión francesa y la versión española, prevalecerá la versión francesa.
Versión francesaPREÁMBULO
El Cliente ha contratado los servicios de visualización arquitectónica ofrecidos por Indris Studio, regulados por las Condiciones Generales de Venta (en adelante, el «Contrato Principal»).
En el marco de la ejecución de dichos servicios, en particular mediante el uso de la aplicación web indris.studio, Indris Studio puede tratar datos personales por cuenta del Cliente, tales como datos de proyecto, planos, archivos 3D y datos profesionales de contacto.
De conformidad con las exigencias de la normativa aplicable en materia de protección de datos, y en particular con el artículo 28 del Reglamento (UE) 2016/679 (RGPD), las Partes celebran el presente Acuerdo de Tratamiento de Datos (Data Processing Agreement o «DPA») con el fin de definir las condiciones en las que el Encargado del tratamiento (Indris Studio) se compromete a realizar operaciones de tratamiento de datos personales por cuenta del Responsable del tratamiento (el Cliente).
SE HA ACORDADO LO SIGUIENTE:
Artículo 1. Identificación de las Partes y calificación de sus funciones
1.1 Partes
El presente Acuerdo de Tratamiento de Datos Personales (en adelante, el «DPA») se celebra entre:
El Cliente, persona física o jurídica que actúa con fines profesionales, identificado en el presupuesto, pedido, cuenta de cliente creada en la plataforma o cualquier otro documento contractual aceptado entre las partes (en adelante, el «Cliente»);
y
Indris Studio, EURL con un capital social de 1.000 euros, cuyo domicilio social se encuentra en 200 rue de la Croix Nivert, 75015 París, Francia, inscrita en el Registro Mercantil y de Sociedades de París con el número 101 367 274, número de IVA intracomunitario FR 44101367274, que explota la plataforma accesible, en particular, en indris.studio (en adelante, «Indris Studio»).
El Cliente e Indris Studio se denominarán individualmente una «Parte» y conjuntamente las «Partes».
1.2 Calificación de las funciones para los tratamientos cubiertos por el presente DPA
Para los tratamientos de datos personales incluidos en el ámbito del presente DPA, es decir, los tratamientos realizados por Indris Studio por cuenta del Cliente en el marco de la prestación del servicio, incluyendo la puesta a disposición de la plataforma, alojamiento, almacenamiento, organización, consulta, transmisión, supresión, soporte técnico, mantenimiento, copia de seguridad, registro y protección de los datos y contenidos confiados por el Cliente:
- el Cliente actúa, en principio, como responsable del tratamiento, en la medida en que determina las finalidades perseguidas y las características esenciales del tratamiento de los datos personales integrados o transmitidos en el marco de su uso del servicio;
- Indris Studio actúa como encargado del tratamiento, en la medida en que trata dichos datos personales por cuenta del Cliente y conforme a las instrucciones documentadas de este, en las condiciones previstas por el presente DPA y el contrato principal.
1.3 Tratamientos propios de Indris Studio
Las Partes reconocen expresamente que Indris Studio también puede actuar como responsable del tratamiento distinto y autónomo para los tratamientos de datos personales realizados para sus propias finalidades, con independencia de los tratamientos efectuados por cuenta del Cliente.
En particular, pertenecen a esta función propia, cuando dichos tratamientos sean aplicables:
- la gestión de la relación contractual y comercial;
- la creación y gestión administrativa de cuentas de clientes;
- la facturación, contabilidad y gestión de pagos;
- la prevención del fraude, la seguridad general de sus sistemas y la defensa de sus derechos;
- el cumplimiento de sus obligaciones legales, reglamentarias, fiscales y contables;
- la gestión de litigios y actuaciones precontenciosas;
- en su caso, su prospección comercial propia, respetando la normativa aplicable.
Estos tratamientos propios no forman parte del presente DPA y seguirán rigiéndose por los documentos contractuales y la información de privacidad aplicables emitidos por Indris Studio en su condición de responsable del tratamiento.
1.4 Primacía de la realidad de las operaciones
Las Partes acuerdan que la calificación de sus funciones se apreciará tratamiento por tratamiento, atendiendo a la realidad de las operaciones efectivamente realizadas. En consecuencia, si una operación concreta de tratamiento debiera recibir, conforme a la normativa aplicable, una calificación distinta de la indicada en el presente artículo, dicha calificación prevalecerá para la operación afectada, sin afectar a la calificación de los demás tratamientos.
1.5 Ausencia de corresponsabilidad por principio
Salvo estipulación expresa en contrario o calificación legal distinta impuesta por la naturaleza de un tratamiento determinado, las Partes reconocen que el presente DPA no tiene por objeto establecer una corresponsabilidad de las Partes en el sentido de la normativa aplicable en materia de protección de datos personales.
Artículo 2. Objeto del DPA
2.1 Objeto
El presente DPA tiene por objeto definir las condiciones en las que Indris Studio, en su condición de encargado del tratamiento, queda autorizada a tratar, por cuenta del Cliente, los datos personales comprendidos en los tratamientos cubiertos por el presente DPA, en el marco de la prestación del servicio y la ejecución del contrato principal.
El presente DPA se aplica exclusivamente a los tratamientos de datos personales realizados por Indris Studio para las necesidades de puesta a disposición, explotación, protección y soporte del servicio prestado al Cliente.
2.2 Perímetro de los servicios cubiertos
Dentro de los límites de las funcionalidades contratadas por el Cliente, los parámetros elegidos, la documentación del servicio y las instrucciones documentadas del Cliente, el presente DPA cubre, en particular, las operaciones de tratamiento relacionadas con los siguientes servicios:
- la puesta a disposición y explotación de la plataforma accesible al Cliente;
- el alojamiento, almacenamiento, conservación, organización y puesta a disposición de archivos, documentos, entregables, comentarios, adjuntos, datos de proyecto y contenidos importados o generados en el marco del servicio;
- la gestión técnica de cuentas de usuario, autenticación, autorizaciones, accesos y permisos dentro de la plataforma;
- la gestión de intercambios, interacciones, validaciones, comentarios, transmisiones y operaciones de colaboración en torno a los proyectos del Cliente dentro del servicio;
- la ejecución de operaciones de soporte técnico, mantenimiento correctivo, evolutivo o preventivo, asistencia a usuarios, diagnóstico, copia de seguridad, restauración, supervisión, registro y protección de la plataforma y de los datos tratados;
- de forma más general, cualquier operación técnica estrictamente necesaria para la ejecución del servicio, su continuidad, integridad, disponibilidad y seguridad.
2.3 Tratamientos relacionados con funcionalidades de inteligencia artificial
En el supuesto de que el servicio incluya, en la fecha de ejecución del contrato o posteriormente, funcionalidades que impliquen un tratamiento automatizado o asistido por inteligencia artificial, el presente DPA cubrirá igualmente los tratamientos de datos personales estrictamente necesarios para la prestación de dichas funcionalidades, siempre que sean efectivamente ofrecidas en el servicio, activadas para el Cliente o requeridas para la ejecución de la prestación acordada.
Estos eventuales tratamientos solo podrán ser realizados por Indris Studio para la ejecución del servicio, de conformidad con el contrato principal, el presente DPA, la documentación aplicable del servicio y las instrucciones documentadas del Cliente.
Salvo acuerdo escrito expreso del Cliente, Indris Studio no utilizará los datos, documentos, contenidos de proyecto o entregables cubiertos por el presente DPA para entrenar modelos de inteligencia artificial por cuenta propia.
2.4 Limitación del perímetro
El presente DPA no cubre los tratamientos de datos personales realizados por Indris Studio para sus propias finalidades, como responsable del tratamiento distinto, en particular para la gestión de la relación contractual y comercial, facturación, contabilidad, cumplimiento de sus obligaciones legales, seguridad interna de sus sistemas, prevención del fraude, gestión de litigios o prospección propia cuando sea aplicable.
Dichos tratamientos quedan excluidos del perímetro del presente DPA y dependen de los documentos contractuales y de la información de privacidad aplicables a Indris Studio en su propia condición de responsable del tratamiento.
La descripción detallada de las operaciones de tratamiento cubiertas por el presente DPA figura en el Anexo 1 y en el artículo 4 siguiente.
Artículo 3. Duración
3.1 Entrada en vigor
El presente DPA entrará en vigor en la fecha más temprana de las siguientes:
- la aceptación del contrato principal por el Cliente;
- la aceptación expresa del presente DPA por el Cliente, en particular al validar el pedido, aceptar un presupuesto, crear o activar una cuenta, o mediante cualquier otro modo de contratación o aceptación propuesto por Indris Studio;
- el inicio efectivo del uso del servicio por el Cliente, cuando dicho uso implique un tratamiento de datos personales incluido en el presente DPA.
3.2 Duración de aplicación
El presente DPA permanecerá vigente durante toda la duración de ejecución del contrato principal que vincule a las Partes, así como durante cualquier período en el que Indris Studio trate datos personales por cuenta del Cliente en el marco de los servicios cubiertos por el presente DPA.
En consecuencia, el presente DPA cesará, en principio, en la fecha de expiración, resolución, rescisión, no renovación o terminación, por cualquier causa, del contrato principal, sin perjuicio de las estipulaciones del presente artículo destinadas a sobrevivir a dicha terminación.
3.3 Supervivencia de determinadas estipulaciones
No obstante la terminación del contrato principal y/o del presente DPA, seguirán aplicándose durante el plazo necesario para producir plenos efectos:
- las obligaciones de confidencialidad;
- las obligaciones relativas a la seguridad de los datos personales;
- las obligaciones relativas a la restitución, exportación, supresión y, en su caso, archivo residual técnicamente inevitable o legalmente exigido;
- las obligaciones de cooperación, información y asistencia en caso de violación de datos, reclamación, solicitud de una persona interesada, control de una autoridad competente o procedimiento administrativo, precontencioso, contencioso o judicial relativo a tratamientos realizados durante la ejecución del contrato;
- las estipulaciones relativas a la demostración de conformidad, documentación y derecho de auditoría, en la medida estrictamente necesaria para permitir al Cliente verificar el cumplimiento por Indris Studio de sus obligaciones respecto de los tratamientos realizados antes de la finalización del DPA.
3.4 Confidencialidad postcontractual
Las obligaciones de confidencialidad aplicables en virtud del presente DPA permanecerán vigentes durante todo el período de conservación o tenencia, en cualquier forma, de los datos personales afectados por Indris Studio o por sus subencargados autorizados, y posteriormente durante el plazo adicional eventualmente previsto en el contrato principal o por la ley aplicable. A este respecto, las CGV ya prevén una obligación general de confidencialidad durante la relación contractual y durante cinco (5) años tras su terminación.
3.5 Finalización de los tratamientos por cuenta del Cliente
Al finalizar el presente DPA, Indris Studio dejará de tratar datos personales por cuenta del Cliente, salvo en la medida en que:
- siga siendo estrictamente necesario un tratamiento residual temporal para ejecutar operaciones de restitución, exportación, supresión, purga de copias de seguridad, seguridad de fin de servicio o cierre técnico;
- la conservación de determinados datos venga impuesta por una obligación legal o reglamentaria;
- la conservación limitada de determinada información sea estrictamente necesaria para la constatación, ejercicio o defensa de los derechos de Indris Studio.
En estos supuestos, los datos afectados seguirán sujetos a las obligaciones de confidencialidad y seguridad previstas por el presente DPA mientras se conserven.
3.6 Autonomía del presente artículo
La terminación del contrato principal no afectará a la validez ni a la oponibilidad de las estipulaciones del presente DPA que, por su naturaleza, estén destinadas a producir efectos tras el fin de la relación contractual.
Artículo 4. Descripción del tratamiento
4.1 Descripción general
En el marco de la ejecución de los servicios cubiertos por el presente DPA, Indris Studio queda autorizada a tratar, por cuenta del Cliente, los datos personales estrictamente necesarios para prestar el servicio, ejecutar la prestación acordada, explotar técnicamente la plataforma, gestionar accesos, colaborar en torno a proyectos y garantizar la continuidad, seguridad y soporte del servicio.
Los tratamientos contemplados en el presente artículo se refieren a los datos personales que el Cliente, sus usuarios autorizados o sus interlocutores introduzcan, importen, transmitan, consulten, modifiquen, compartan o supriman en el marco del uso del servicio.
4.2 Naturaleza de las operaciones de tratamiento
Las operaciones de tratamiento que Indris Studio puede realizar por cuenta del Cliente incluyen, según las funcionalidades utilizadas y las instrucciones documentadas del Cliente:
- la recogida o recepción de datos al crear cuentas, utilizar la plataforma, importar contenidos, enviar mensajes, comentarios o adjuntos;
- el registro, organización, estructuración, clasificación, indexación y conservación de datos y contenidos;
- el alojamiento, almacenamiento, duplicación técnica, copia de seguridad, restauración y archivo técnico temporal;
- la consulta, visualización, puesta a disposición, descarga, compartición y, de forma más general, accesibilidad de los contenidos a usuarios autorizados;
- la transmisión técnica de datos entre usuarios autorizados, espacios de proyecto, servicios integrados y componentes técnicos necesarios para la ejecución del servicio;
- el registro de eventos técnicos, accesos, operaciones y acciones realizadas en el servicio;
- la detección, análisis, diagnóstico y resolución de incidentes, anomalías, errores o dificultades técnicas;
- las operaciones de soporte, asistencia y mantenimiento correctivo, preventivo o evolutivo, en la medida estrictamente necesaria para prestar el servicio;
- la supresión, purga, restitución o exportación de datos, en las condiciones previstas en el presente DPA y en el contrato principal.
4.3 Finalidades de los tratamientos
Los tratamientos realizados por Indris Studio por cuenta del Cliente tienen únicamente las siguientes finalidades:
- la ejecución de las prestaciones encargadas por el Cliente;
- la puesta a disposición y explotación operativa de la plataforma;
- la gestión de cuentas de usuario, autorizaciones, accesos y permisos;
- la gestión de intercambios, comentarios, validaciones, transmisiones y colaboraciones en torno a los proyectos del Cliente;
- el alojamiento, almacenamiento y protección de archivos, documentos, entregables, adjuntos y datos de proyecto;
- la administración técnica del servicio, incluida la supervisión, continuidad de actividad, copia de seguridad, restauración y prevención de incidentes;
- el soporte técnico y asistencia a usuarios autorizados;
- en su caso, la ejecución de funcionalidades automatizadas o asistidas por inteligencia artificial efectivamente ofrecidas en el servicio y activadas por el Cliente, dentro del límite estricto necesario para prestar el servicio correspondiente.
4.4 Categorías de datos personales tratados
Las categorías de datos personales que pueden tratarse por cuenta del Cliente incluyen, en particular:
- datos de identificación profesional: apellidos, nombre, tratamiento, cargo, sociedad, entidad, servicio o función en el proyecto;
- datos profesionales de contacto: dirección de correo electrónico profesional, número de teléfono profesional, dirección profesional y otros datos de contacto;
- datos de cuenta y autenticación: identificador de usuario, información de conexión, datos relativos a autorizaciones, contraseñas protegidas cuando sea aplicable, historiales de conexión y elementos necesarios para la seguridad de la autenticación;
- datos relativos a proyectos y archivos importados: documentos, planos, fachadas, secciones, alzados, maquetas, archivos 3D, documentos PDF, referencias visuales, comentarios, anotaciones, instrucciones, briefs, solicitudes de corrección, validaciones, mensajes, adjuntos y, de forma más general, cualquier contenido transmitido por el Cliente en el marco del servicio;
- metadatos asociados a contenidos y proyectos: nombre de archivo, tipo, tamaño, formato, fecha, autor, versión, historial de acciones, espacio de proyecto afectado y otros metadatos técnicos o funcionales;
- datos de registro y trazabilidad: registros de acceso, registros de eventos, dirección IP, fecha y hora de acciones, identificadores técnicos, información de terminal o sesión, registros de seguridad y registros aplicativos;
- datos de asistencia y soporte: contenido de solicitudes de asistencia, intercambios relativos a incidentes, capturas, extractos o elementos técnicos comunicados en el marco del soporte;
- en su caso, datos contenidos en entradas, salidas, instrucciones o resultados relacionados con una funcionalidad de inteligencia artificial efectivamente utilizada en el marco del servicio.
4.5 Categorías de personas interesadas
Las categorías de personas interesadas por los tratamientos cubiertos por el presente DPA pueden incluir, en particular:
- empleados, directivos, socios, colaboradores, consultores o representantes del Cliente;
- usuarios autorizados de la plataforma creados, invitados o administrados por el Cliente;
- contactos de proyecto del Cliente;
- socios, cotratistas, subcontratistas, oficinas técnicas, arquitectos, urbanistas, paisajistas, ingenieros, economistas, promotores, propietarios, clientes finales u otros interlocutores mencionados o implicados en los contenidos transmitidos por el Cliente;
- cualquier persona cuyos datos personales se incluyan de forma incidental o intencional en los archivos, documentos, comentarios, adjuntos o metadatos importados por el Cliente.
4.6 Datos presentes incidental o involuntariamente
El Cliente reconoce que determinados contenidos de proyecto pueden incluir datos personales de forma incidental o no identificada previamente por Indris Studio. En tal supuesto, Indris Studio tratará dichos datos únicamente en la medida técnicamente necesaria para prestar el servicio, conforme a las instrucciones documentadas del Cliente y sin que ello implique una calificación distinta de sus funciones.
El Cliente sigue siendo responsable de verificar la licitud, pertinencia, minimización y proporcionalidad de los datos personales que decide transmitir o hacer tratar en el marco del servicio.
4.7 Carácter evolutivo y controlado de la descripción
La descripción de los tratamientos podrá evolucionar en función de las funcionalidades efectivamente contratadas, utilizadas o solicitadas por el Cliente, siempre dentro de los límites del servicio, del contrato principal, del presente DPA y de las instrucciones documentadas del Cliente.
Cualquier evolución sustancial del servicio que implique una modificación significativa de la naturaleza de los tratamientos, de las categorías de datos o de las categorías de personas interesadas podrá ser objeto de información, documentación o actualización contractual adecuada.
Artículo 5. Tratamiento únicamente conforme a instrucciones documentadas
5.1 Principio
Indris Studio se compromete a tratar los datos personales cubiertos por el presente DPA únicamente conforme a las instrucciones documentadas del Cliente, incluidas las instrucciones derivadas del contrato principal, de los documentos contractuales aceptados, de la configuración del servicio, de los pedidos validados y de las acciones realizadas por usuarios autorizados dentro de la plataforma.
5.2 Instrucciones iniciales del Cliente
Las instrucciones iniciales del Cliente consisten, en particular, en permitir a Indris Studio realizar las operaciones de tratamiento necesarias para poner a disposición, alojar, almacenar, organizar, consultar, transmitir, proteger, respaldar, restaurar, suprimir y, más generalmente, explotar técnicamente los datos y contenidos transmitidos en el marco del servicio.
Estas instrucciones incluyen asimismo la realización de las prestaciones de visualización arquitectónica encargadas, la producción de entregables, la gestión de intercambios de proyecto, el soporte técnico y las operaciones de mantenimiento y seguridad necesarias.
5.3 Instrucciones adicionales
Cualquier instrucción adicional del Cliente deberá ser documentada, lícita, suficientemente clara, proporcionada, compatible con el servicio y con el contrato principal, y técnicamente realizable por Indris Studio.
Indris Studio podrá solicitar cualquier precisión necesaria antes de ejecutar una instrucción que resulte ambigua, incompleta, técnicamente compleja o susceptible de afectar a la seguridad, integridad o disponibilidad del servicio.
5.4 Instrucción manifiestamente ilícita o no conforme
Si Indris Studio considera que una instrucción del Cliente infringe el RGPD u otra disposición aplicable en materia de protección de datos, informará de ello al Cliente en la medida exigida por la normativa aplicable.
Indris Studio podrá suspender la ejecución de una instrucción manifiestamente ilícita, imposible o susceptible de comprometer la seguridad del servicio, sin que ello pueda considerarse un incumplimiento contractual.
5.5 Tratamiento exigido por la ley
Si Indris Studio estuviera obligada a tratar datos personales por una disposición legal aplicable, informará al Cliente antes del tratamiento, salvo que el Derecho aplicable prohíba dicha información por razones importantes de interés público.
5.6 Ausencia de obligación general de control jurídico del Cliente
Indris Studio no está sujeta a una obligación general de controlar la licitud de los tratamientos determinados por el Cliente, de los datos transmitidos por este o de las finalidades perseguidas por el Cliente.
La obligación de Indris Studio se limita a ejecutar las instrucciones documentadas del Cliente dentro del marco del servicio, del presente DPA y de la normativa aplicable a su condición de encargado del tratamiento.
Artículo 6. Confidencialidad de las personas autorizadas
6.1 Acceso reservado a personas autorizadas
Indris Studio garantiza que las personas autorizadas a tratar los datos personales cubiertos por el presente DPA accedan a ellos únicamente en la medida necesaria para el desempeño de sus funciones y para la prestación del servicio.
6.2 Limitación de acceso según necesidad de conocer
Los accesos se limitan a las personas que tengan una necesidad operacional, técnica, de soporte, mantenimiento, seguridad, administración o gestión contractual directamente relacionada con la ejecución del servicio.
6.3 Obligación de confidencialidad
Las personas autorizadas para tratar datos personales están sujetas a una obligación de confidencialidad adecuada, ya sea por contrato, compromiso interno, obligación profesional o cualquier mecanismo equivalente.
Esta obligación de confidencialidad cubre los datos personales, contenidos de proyecto, metadatos y cualquier información no pública a la que dichas personas puedan tener acceso en el marco del servicio.
6.4 Gobernanza interna de accesos
Indris Studio aplica medidas razonables para gestionar, revisar y, cuando proceda, retirar los accesos de las personas autorizadas, en particular en caso de cambio de funciones, fin de misión o cese de la relación contractual o laboral correspondiente.
6.5 Cumplimiento de las instrucciones del Cliente
Indris Studio garantiza que las personas autorizadas a tratar los datos personales lo hagan conforme a las instrucciones documentadas del Cliente, a las necesidades del servicio, al presente DPA y a las medidas internas aplicables de seguridad y confidencialidad.
Artículo 7. Medidas de seguridad adecuadas
7.1 Principio general de seguridad
Indris Studio se compromete a aplicar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades de los tratamientos, así como los riesgos para los derechos y libertades de las personas físicas.
7.2 Objetivos de las medidas de seguridad
Estas medidas tienen por objeto, en particular, preservar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento, proteger los datos frente a acceso, uso, divulgación, alteración, pérdida o destrucción no autorizados, y contribuir a la continuidad del servicio.
7.3 Anexo de seguridad
Las principales categorías de medidas técnicas y organizativas aplicadas por Indris Studio se describen en el Anexo 2 del presente DPA.
7.4 Carácter evolutivo de las medidas de seguridad
Las medidas de seguridad podrán evolucionar para tener en cuenta cambios técnicos, organizativos, reglamentarios o de riesgo, siempre que dicha evolución no reduzca sustancialmente el nivel global de protección de los datos personales cubiertos por el presente DPA.
7.5 Medidas adaptadas al perímetro de la prestación
Las medidas de seguridad aplicadas por Indris Studio se refieren al perímetro de los servicios, sistemas, herramientas, infraestructuras y operaciones que controla o administra en el marco del servicio.
El Cliente sigue siendo responsable de la seguridad de sus propios sistemas, equipos, redes, cuentas, usuarios, autorizaciones internas y contenidos antes de su transmisión al servicio o después de su exportación.
Artículo 8. Subencargados
8.1 Autorización general controlada
El Cliente autoriza a Indris Studio a recurrir a subencargados posteriores para las necesidades de prestación, alojamiento, almacenamiento, autenticación, seguridad, soporte, mantenimiento y explotación técnica del servicio.
8.2 Información en caso de adición o sustitución
Indris Studio informará al Cliente, por cualquier medio adecuado, de cualquier adición o sustitución sustancial de un subencargado posterior que intervenga en los tratamientos cubiertos por el presente DPA, respetando un plazo razonable antes del cambio cuando sea posible.
8.3 Derecho de oposición del Cliente
El Cliente podrá formular una oposición documentada y razonable relativa a un nuevo subencargado cuando existan motivos legítimos relacionados con la protección de datos personales.
En caso de oposición, las Partes procurarán de buena fe encontrar una solución razonable. Si no se encuentra solución y el uso del subencargado es necesario para el servicio, Indris Studio podrá suspender o terminar la prestación afectada en las condiciones del contrato principal.
8.4 Encadramiento contractual de los subencargados
Indris Studio se asegurará de que los subencargados posteriores estén sujetos a obligaciones de protección de datos sustancialmente equivalentes a las previstas en el presente DPA, en particular en materia de confidencialidad, seguridad, instrucciones documentadas, asistencia y supresión o restitución de datos.
8.5 Responsabilidad de Indris Studio
Indris Studio seguirá siendo responsable frente al Cliente del cumplimiento, por sus subencargados posteriores autorizados, de las obligaciones que les incumban en relación con los tratamientos cubiertos por el presente DPA, en las condiciones previstas por la normativa aplicable.
8.6 Perímetro de la autorización
La autorización concedida por el Cliente cubre únicamente los subencargados elegidos por Indris Studio para prestar el servicio. No cubre herramientas, servicios o prestadores que el Cliente decida utilizar por su cuenta, incluso si interactúan con los contenidos, datos o entregables del servicio.
Artículo 9. Asistencia al Responsable del tratamiento
9.1 Principio general de asistencia
Indris Studio asistirá razonablemente al Cliente, teniendo en cuenta la naturaleza del tratamiento y la información a su disposición, para permitirle cumplir determinadas obligaciones que le incumben en virtud de la normativa aplicable en materia de protección de datos.
9.2 Asistencia relativa a solicitudes de ejercicio de derechos
Cuando Indris Studio reciba directamente una solicitud de una persona interesada relativa a datos tratados por cuenta del Cliente, podrá transmitir dicha solicitud al Cliente, salvo que otra instrucción documentada o una obligación legal disponga lo contrario.
Indris Studio no responderá en nombre del Cliente sobre el fondo de la solicitud, salvo instrucción documentada específica y aceptada.
9.3 Asistencia relativa a la seguridad y a las violaciones de datos
Indris Studio asistirá razonablemente al Cliente en relación con la seguridad de los tratamientos y las violaciones de datos personales que afecten a los tratamientos cubiertos por el presente DPA, en las condiciones del artículo 10 y del Anexo 4.
9.4 Asistencia relativa a evaluaciones de impacto y consulta previa
Cuando sea necesario y dentro de los límites de la información disponible, Indris Studio podrá facilitar al Cliente información técnica y organizativa razonablemente necesaria para realizar una evaluación de impacto relativa a la protección de datos o una consulta previa ante una autoridad competente.
9.5 Modalidades de asistencia
Las solicitudes de asistencia del Cliente deberán formularse por escrito, ser suficientemente precisas, proporcionadas y estar relacionadas con tratamientos efectivamente cubiertos por el presente DPA.
Indris Studio podrá facturar, en las condiciones del contrato principal o de un presupuesto separado, la asistencia que exceda de un soporte razonable, recurrente o estándar, especialmente cuando la solicitud sea compleja, urgente, extensiva o requiera trabajos específicos.
9.6 Límites de la asistencia
La asistencia de Indris Studio no sustituye las obligaciones propias del Cliente como responsable del tratamiento. El Cliente sigue siendo responsable de determinar la licitud de sus tratamientos, informar a las personas interesadas, gestionar sus registros, bases legales, plazos de conservación, análisis de riesgos y comunicaciones con autoridades cuando dichas obligaciones le correspondan.
Artículo 10. Notificación de violaciones de datos
10.1 Principio de notificación
Indris Studio notificará al Cliente, sin dilación indebida tras haber tenido conocimiento de una violación de datos personales que afecte a los tratamientos realizados por cuenta del Cliente, en la medida en que dicha violación se refiera al perímetro controlado por Indris Studio.
10.2 Contenido de la notificación inicial
La notificación inicial incluirá, cuando la información esté disponible:
- la naturaleza de la violación;
- las categorías y volumen aproximado de datos y personas afectadas;
- la fecha o período estimado del incidente;
- las consecuencias probables, si se conocen;
- las medidas adoptadas o propuestas para remediar la violación y limitar sus efectos;
- un punto de contacto para el seguimiento del incidente.
10.3 Información adicional
Cuando no sea posible proporcionar toda la información al mismo tiempo, Indris Studio podrá comunicar la información disponible por fases, a medida que avance el análisis del incidente.
10.4 Cooperación y asistencia
Indris Studio cooperará razonablemente con el Cliente para analizar el incidente, limitar sus consecuencias, documentar los hechos y facilitar al Cliente la información técnica disponible que pueda necesitar para cumplir sus propias obligaciones.
10.5 Reparto de funciones
El Cliente sigue siendo responsable de determinar si debe notificar la violación a la autoridad de control competente o comunicarla a las personas interesadas, salvo obligación legal directamente aplicable a Indris Studio.
10.6 Medidas conservatorias
Indris Studio podrá adoptar cualquier medida conservatoria técnica, organizativa o de seguridad que considere necesaria para contener un incidente, proteger los sistemas, preservar pruebas, limitar el impacto o evitar una repetición.
10.7 Procedimiento aplicable
Las modalidades operativas de notificación, seguimiento y cierre de incidentes se precisan en el Anexo 4.
Artículo 11. Destino de los datos al final del contrato
11.1 Principio general
Al finalizar el contrato principal o la prestación afectada, y salvo obligación legal o motivo legítimo de conservación, Indris Studio procederá, según las instrucciones aplicables del Cliente y las condiciones del presente DPA, a la restitución, exportación, supresión o inaccesibilidad definitiva de los datos personales tratados por cuenta del Cliente.
11.2 Elección del Cliente y regla por defecto
El Cliente deberá indicar por escrito si solicita la restitución o exportación de determinados datos antes de su supresión. A falta de instrucción específica dentro de un plazo razonable, Indris Studio podrá proceder a la supresión de los datos en las condiciones previstas en el presente DPA.
11.3 Restitución de datos
Cuando se solicite y sea técnicamente posible, la restitución podrá efectuarse mediante puesta a disposición, exportación, descarga o cualquier otro medio razonable definido por Indris Studio, teniendo en cuenta la naturaleza del servicio, los formatos disponibles y las limitaciones técnicas aplicables.
11.4 Supresión rápida de datos fuente del proyecto
Los datos fuente del proyecto tratados por Indris Studio por cuenta del Cliente, incluidos planos, secciones, alzados, maquetas, archivos 3D, PDF, adjuntos, referencias visuales, comentarios, anotaciones e intercambios de proyecto, se suprimirán de los entornos activos en un plazo máximo de quince (15) días naturales desde la fecha más tardía entre la entrega final del proyecto y el pago íntegro, salvo obligación legal contraria, necesidad de defensa de los derechos de Indris Studio, solicitud de una autoridad competente o instrucción escrita distinta del Cliente aceptada por Indris Studio.
11.5 Datos mínimos de cuenta, acceso y autenticación
Indris Studio podrá conservar datos mínimos de cuenta, acceso y autenticación necesarios para administrar la relación contractual, asegurar el acceso a entregables finales, preservar la seguridad, conservar pruebas o cumplir obligaciones legales, siempre dentro de los límites de la normativa aplicable.
11.6 Distinción entre datos fuente del Cliente y entregables finales
La supresión de datos fuente del Cliente no impide la conservación o puesta a disposición de entregables finales cuando esta sea necesaria para ejecutar el contrato, permitir al Cliente acceder a los resultados de la prestación o defender los derechos de Indris Studio, dentro de los límites contractuales aplicables.
11.7 Copias de seguridad y residuos técnicos
Los datos suprimidos de entornos activos pueden subsistir temporalmente en copias de seguridad, sistemas de recuperación, registros técnicos, cachés, mecanismos de replicación o residuos técnicos no modificables inmediatamente.
Durante este período, dichos datos seguirán protegidos por medidas de seguridad y confidencialidad adecuadas, no se reutilizarán para otros fines y se suprimirán o harán definitivamente inaccesibles según el ciclo normal de retención aplicable, sin exceder de noventa (90) días desde su supresión de los entornos activos, salvo restricción legal o técnica debidamente justificada.
11.8 Excepciones legales y conservación residual mínima
Indris Studio podrá conservar determinados datos o información estrictamente necesarios para cumplir una obligación legal o reglamentaria, constatar, ejercer o defender sus derechos, gestionar un incidente de seguridad, litigio, auditoría o solicitud de una autoridad competente, o conservar elementos técnicos mínimos necesarios para la integridad, seguridad o prueba de operaciones.
11.9 Confirmación de supresión
A solicitud escrita razonable del Cliente, Indris Studio podrá proporcionar una confirmación escrita de las operaciones de supresión realizadas en los entornos activos y sistemas directamente administrados por Indris Studio en relación con el servicio.
Artículo 12. Información y auditoría
12.1 Puesta a disposición de información necesaria
Indris Studio pondrá a disposición del Cliente, previa solicitud razonable, la información necesaria para demostrar el cumplimiento de las obligaciones previstas por el presente DPA, dentro de los límites de la confidencialidad, la seguridad, los derechos de terceros y la protección de otros clientes.
12.2 Principio del derecho de auditoría
El Cliente podrá verificar el cumplimiento por Indris Studio de sus obligaciones como encargado del tratamiento, mediante procedimientos proporcionados, razonables y no intrusivos, de conformidad con el artículo 28 del RGPD.
12.3 Prioridad de los medios de verificación proporcionados
Las Partes darán prioridad a medios de verificación proporcionados, tales como documentación, cuestionarios, certificaciones, informes, extractos contractuales, respuestas escritas o reuniones de revisión, antes de cualquier auditoría in situ o técnica.
12.4 Condiciones de ejercicio de la auditoría
Cualquier auditoría deberá notificarse con un preaviso razonable, realizarse durante horarios normales de trabajo, no perturbar indebidamente las operaciones de Indris Studio, respetar la confidencialidad de sus sistemas, métodos, clientes y secretos comerciales, y excluir cualquier prueba intrusiva, prueba de penetración o acceso directo no autorizado a sistemas.
Salvo incumplimiento grave o requerimiento de una autoridad competente, el Cliente no podrá realizar más de una auditoría al año.
12.5 Cooperación de Indris Studio
Indris Studio cooperará de buena fe con las auditorías válidamente solicitadas, dentro de límites razonables y proporcionados, facilitando la información pertinente y respondiendo a preguntas justificadas sobre los tratamientos cubiertos por el presente DPA.
12.6 Gastos y costes
Cada Parte soportará sus propios costes relacionados con una auditoría. Indris Studio podrá facturar los costes razonables derivados de auditorías complejas, abusivas, repetitivas, urgentes o que excedan del marco ordinario de verificación, salvo que la auditoría revele un incumplimiento grave imputable a Indris Studio.
12.7 Resultados de la auditoría y medidas correctoras
El Cliente comunicará a Indris Studio las conclusiones pertinentes de cualquier auditoría. Cuando se identifique un incumplimiento probado, las Partes cooperarán para definir medidas correctoras proporcionadas y un calendario razonable de aplicación.
12.8 Confidencialidad de la información de auditoría
Toda información obtenida en el marco de una auditoría será estrictamente confidencial y no podrá divulgarse a terceros salvo obligación legal, solicitud de una autoridad competente o acuerdo previo por escrito de Indris Studio.
Artículo 13. Delimitación precisa del ámbito
13.1 Ámbito de los tratamientos cubiertos por el presente DPA
El presente DPA se aplica únicamente a los tratamientos realizados por Indris Studio por cuenta del Cliente en su condición de encargado del tratamiento, para las necesidades del servicio, la plataforma, los proyectos y las prestaciones encargadas.
13.2 Exclusión de los tratamientos propios de Indris Studio
Quedan excluidos del presente DPA los tratamientos realizados por Indris Studio para sus propias finalidades como responsable del tratamiento, incluidos facturación, contabilidad, gestión comercial, cumplimiento legal, seguridad interna, prevención del fraude, defensa de derechos y prospección propia cuando sea aplicable.
13.3 Datos que pueden depender de calificaciones distintas según la finalidad perseguida
Una misma categoría de datos puede ser objeto de calificaciones distintas según la finalidad perseguida. Por ejemplo, una dirección de correo electrónico profesional puede tratarse por cuenta del Cliente para gestionar accesos a un proyecto y, al mismo tiempo, tratarse por Indris Studio como responsable para facturación o relación comercial.
13.4 Ausencia de extensión implícita del DPA a tratamientos propios
Ninguna estipulación del presente DPA podrá interpretarse como una limitación injustificada de los tratamientos propios que Indris Studio esté autorizada a realizar como responsable del tratamiento, en particular para cumplir obligaciones legales o defender sus derechos.
13.5 Articulación con otros documentos contractuales
Los tratamientos excluidos del presente DPA seguirán rigiéndose por los demás documentos contractuales, políticas de privacidad, condiciones de servicio o informaciones aplicables a Indris Studio en su condición de responsable del tratamiento.
Artículo 14. Reparto claro de responsabilidades
14.1 Principio general
Las Partes reconocen que el Cliente, como responsable del tratamiento, determina las finalidades y medios esenciales de los tratamientos realizados por cuenta suya, mientras que Indris Studio, como encargado del tratamiento, ejecuta las operaciones técnicas necesarias conforme a las instrucciones documentadas del Cliente.
14.2 Responsabilidades del Cliente
El Cliente es responsable, en particular, de la licitud de los datos transmitidos, de la información a las personas interesadas, de la elección de bases legales, de la pertinencia y minimización de los datos, de la definición de los plazos de conservación, de la gestión de sus usuarios y autorizaciones, y de cualquier instrucción que comunique a Indris Studio.
14.3 Obligaciones de Indris Studio
Indris Studio es responsable de tratar los datos personales cubiertos por el presente DPA conforme a las instrucciones documentadas del Cliente, aplicar medidas de seguridad adecuadas dentro de su perímetro, garantizar la confidencialidad de las personas autorizadas, encuadrar a sus subencargados y prestar la asistencia razonable prevista por el presente DPA.
14.4 Ausencia de transferencia de obligaciones propias del Cliente
El presente DPA no transfiere a Indris Studio las obligaciones que corresponden al Cliente en su condición de responsable del tratamiento, ni convierte a Indris Studio en responsable de la licitud de las finalidades, de los datos o de las instrucciones definidas por el Cliente.
Artículo 15. Prohibición o encuadramiento de datos sensibles
15.1 Principio
El servicio no está destinado a recibir categorías especiales de datos personales en el sentido del artículo 9 del RGPD, ni datos relativos a condenas penales e infracciones, salvo necesidad excepcional, justificada y previamente aceptada por escrito por Indris Studio.
15.2 Excepción controlada
El Cliente no podrá transmitir datos sensibles salvo que disponga de una base legal adecuada, haya informado previamente por escrito a Indris Studio y haya obtenido su acuerdo expreso.
15.3 Condiciones especiales
Cuando se autorice excepcionalmente el tratamiento de tales datos, las Partes podrán definir condiciones específicas, medidas de seguridad reforzadas, restricciones de acceso, plazos de conservación y modalidades de supresión apropiadas.
15.4 Datos importados en incumplimiento del presente artículo
Si Indris Studio detecta o sospecha razonablemente que se han importado datos sensibles en incumplimiento del presente artículo, podrá solicitar su supresión, suspender el tratamiento afectado o adoptar cualquier medida conservatoria razonable.
15.5 Responsabilidad del Cliente
El Cliente asumirá las consecuencias derivadas de la transmisión no autorizada, ilícita o no conforme de datos sensibles, salvo incumplimiento propio probado de Indris Studio de sus obligaciones como encargado del tratamiento.
Artículo 16. Gobernanza de transferencias fuera del EEE
16.1 Principio
Los datos están destinados a alojarse y tratarse principalmente dentro del Espacio Económico Europeo. No obstante, determinados servicios, operaciones de soporte, mantenimiento, seguridad o funcionalidades técnicas pueden implicar transferencias o accesos puntuales fuera del EEE.
16.2 Supuestos de transferencia
Estos supuestos pueden resultar, en particular, del uso de proveedores de infraestructura, servicios cloud, herramientas de soporte, mecanismos de seguridad, funcionalidades de inteligencia artificial o operaciones de mantenimiento realizadas por subencargados autorizados.
16.3 Encadramiento jurídico de las transferencias
Cuando se produzca una transferencia fuera del EEE, Indris Studio velará por que esté encuadrada por un mecanismo reconocido por la normativa aplicable, como una decisión de adecuación, cláusulas contractuales tipo de la Comisión Europea o cualquier otro instrumento jurídicamente válido.
16.4 Información y cooperación
Indris Studio proporcionará al Cliente, previa solicitud razonable, información disponible sobre los mecanismos aplicables de transferencia, sin perjuicio de la confidencialidad, seguridad y documentación contractual de sus subencargados.
Artículo 17. Referencia expresa a Google / Firebase como subencargado autorizado
17.1 Uso de Google / Firebase
El Cliente autoriza expresamente a Indris Studio a recurrir a Google / Firebase, así como a las entidades competentes de Google según el servicio utilizado, como subencargados posteriores para las necesidades de alojamiento, almacenamiento, autenticación, ejecución aplicativa, seguridad, análisis técnico, inteligencia artificial y soporte de la plataforma.
17.2 Naturaleza de los servicios afectados
Los servicios afectados pueden incluir, en particular, Google Cloud, Firebase, servicios de almacenamiento, bases de datos, autenticación, funciones cloud, registros, supervisión, seguridad, Vertex AI u otros componentes necesarios para el funcionamiento técnico del servicio.
17.3 Documentación contractual aplicable
El uso de estos servicios está sujeto a la documentación contractual y de seguridad aplicable de Google Cloud / Firebase, incluidos, cuando proceda, los términos de tratamiento de datos, condiciones de seguridad, documentación de subencargados y mecanismos de transferencia publicados por Google.
17.4 Articulación con las demás estipulaciones del DPA
La identificación de Google / Firebase no limita las demás obligaciones de Indris Studio previstas en el presente DPA, en particular en materia de instrucciones documentadas, confidencialidad, seguridad, subencargados, transferencias, asistencia, violaciones de datos y destino de los datos al final del contrato.
Artículo 18. Documentación detallada de las medidas de seguridad
18.1 Relación con la obligación general de seguridad
Las medidas indicadas en el Anexo 2 completan la obligación general de seguridad de Indris Studio y describen las principales categorías de medidas técnicas y organizativas aplicadas en el marco del servicio.
18.2 Categorías de medidas documentadas
Estas medidas pueden incluir, en particular, control de accesos, gestión de autorizaciones, autenticación, cifrado, segregación de entornos, registro, detección y gestión de incidentes, actualizaciones, seguridad de puestos de trabajo, confidencialidad interna, gestión de subencargados, copias de seguridad, continuidad técnica, revisión de accesos y supresión de datos.
18.3 Alcance y nivel de detalle
El nivel de detalle comunicado al Cliente puede limitarse por motivos legítimos de seguridad, confidencialidad, protección de secretos comerciales, integridad del servicio o protección de otros clientes.
18.4 Evolución de las medidas
Indris Studio podrá actualizar, reforzar o adaptar las medidas de seguridad para tener en cuenta la evolución técnica, los riesgos, las funcionalidades del servicio y las exigencias regulatorias, siempre que el nivel global de protección no se reduzca sustancialmente.
18.5 Valor contractual del Anexo 2
El Anexo 2 forma parte integrante del presente DPA. En caso de dificultad de interpretación, se aplicará la interpretación que preserve mejor un nivel de seguridad adecuado a los riesgos.
Artículo 19. Plazos de referencia
19.1 Principio de coordinación
Los plazos indicados en el presente artículo tienen por objeto coordinar las obligaciones operativas de las Partes, salvo estipulación específica más precisa en otra parte del contrato o en el presente DPA.
19.2 Notificación de violaciones de datos
Indris Studio procurará notificar al Cliente cualquier violación de datos personales afectada por el presente DPA sin dilación indebida y, cuando sea posible, dentro de un plazo máximo de cuarenta y ocho (48) horas desde que tenga conocimiento de ella.
19.3 Primeros plazos de respuesta para asistencia
Indris Studio procurará acusar recibo o proporcionar una primera respuesta a las solicitudes razonables de asistencia del Cliente en un plazo coherente con la urgencia y complejidad de la solicitud, especialmente en materia de derechos de personas interesadas, seguridad, auditoría o solicitud de autoridad.
19.4 Información previa en caso de adición o sustitución de subencargado
Cuando sea posible, Indris Studio informará al Cliente con una antelación razonable, que podrá ser de quince (15) días, antes de la adición o sustitución sustancial de un subencargado posterior.
19.5 Fin del contrato, restitución y supresión
Los plazos de restitución, exportación, supresión, purga de copias de seguridad y conservación residual se aplicarán conforme al artículo 11 y al Anexo 4.
Artículo 20. Cooperación con autoridades y en caso de litigio
20.1 Información en caso de solicitud de una autoridad o tribunal
Si Indris Studio recibe una solicitud legalmente vinculante de una autoridad pública, tribunal o autoridad administrativa relativa a datos tratados por cuenta del Cliente, informará al Cliente cuando la ley lo permita.
20.2 Cooperación razonable
Indris Studio cooperará razonablemente con el Cliente en caso de control, investigación, requerimiento, litigio o reclamación relativa a los tratamientos cubiertos por el presente DPA, dentro de los límites de la información disponible y de sus obligaciones legales.
20.3 Reparto de funciones
El Cliente sigue siendo responsable de gestionar sus propias relaciones con autoridades, tribunales, personas interesadas y terceros cuando dichas solicitudes afecten a sus obligaciones como responsable del tratamiento.
20.4 Relación con otras estipulaciones del DPA
La cooperación prevista en el presente artículo no limita las demás obligaciones de información, asistencia, seguridad, confidencialidad, conservación de pruebas o defensa de derechos previstas por el presente DPA o la normativa aplicable.
Artículo 21. Jerarquía contractual
21.1 Integración en el marco contractual
El presente DPA forma parte integrante del marco contractual que vincula a las Partes y se aplica conjuntamente con el contrato principal, incluidas, en su caso, las condiciones generales de venta, condiciones particulares, presupuesto, pedido, documentación contractual del servicio y anexos, en la medida en que dichos documentos sean aplicables a la relación entre las Partes.
21.2 Primacía del DPA para cuestiones de protección de datos
En caso de contradicción, incoherencia o divergencia entre el presente DPA y cualquier otra estipulación del contrato principal o de las condiciones generales de venta, el presente DPA prevalecerá para todas las cuestiones relativas a protección de datos personales, instrucciones documentadas, seguridad, subencargados, transferencias, asistencia, auditoría, violaciones de datos, restitución y supresión.
21.3 Aplicación continuada de las demás estipulaciones contractuales
Para todas las cuestiones que no se refieran específicamente a protección de datos personales, seguirán aplicándose las demás estipulaciones del contrato principal, incluidas las relativas a precios, plazos, propiedad intelectual, responsabilidad, confidencialidad general, entrega de prestaciones y resolución de litigios.
Artículo 22. Responsabilidad y relación con el contrato principal
22.1 Principio de coordinación
La responsabilidad de las Partes en relación con el presente DPA se coordina con las estipulaciones de responsabilidad del contrato principal, sin perjuicio de las disposiciones imperativas aplicables en materia de protección de datos personales.
22.2 Reserva de disposiciones imperativas
Ninguna estipulación del presente DPA o del contrato principal podrá limitar los derechos imperativos de las personas interesadas, las competencias de una autoridad de control o las responsabilidades que no puedan limitarse por ley.
22.3 Ámbito de la responsabilidad de Indris Studio
Indris Studio solo será responsable de los incumplimientos que le sean imputables en su condición de encargado del tratamiento, dentro del perímetro de los servicios, sistemas y operaciones que controle efectivamente.
22.4 Subencargados
Indris Studio seguirá siendo el interlocutor contractual del Cliente para las operaciones realizadas por sus subencargados autorizados en el marco del servicio, en las condiciones previstas por el presente DPA y la normativa aplicable.
Anexo 1. Descripción de los tratamientos
Objeto del tratamiento
Prestación de servicios de visualización arquitectónica, puesta a disposición y explotación de la plataforma indris.studio, alojamiento, almacenamiento, gestión, colaboración, soporte, seguridad y mantenimiento de datos y contenidos de proyecto.
Finalidades
Ejecución de las prestaciones encargadas, explotación de la plataforma, gestión de cuentas y accesos, colaboración en proyectos, alojamiento y protección de datos, soporte técnico, administración del servicio y, en su caso, funcionalidades asistidas por inteligencia artificial activadas para el servicio.
Naturaleza de las operaciones
Recogida, recepción, registro, organización, estructuración, conservación, alojamiento, consulta, puesta a disposición, transmisión, descarga, soporte, diagnóstico, registro, copia de seguridad, restauración, exportación, supresión y purga.
Categorías de datos
Datos de identificación profesional, datos profesionales de contacto, datos de cuenta y autenticación, datos de proyecto, documentos, planos, archivos 3D, PDF, comentarios, instrucciones, adjuntos, mensajes, metadatos, registros técnicos, datos de soporte y datos vinculados a funcionalidades de inteligencia artificial cuando sean aplicables.
Categorías de personas interesadas
Usuarios autorizados, colaboradores, empleados, representantes, contactos de proyecto, socios, prestadores, arquitectos, ingenieros, promotores, clientes finales y cualquier persona mencionada o incluida en contenidos transmitidos por el Cliente.
Duración del tratamiento
Durante la duración del contrato principal, de la prestación o del uso del servicio, y posteriormente durante los plazos de restitución, supresión, archivo residual o conservación legal previstos por el DPA o la normativa aplicable.
Conservación / supresión
Supresión de los datos fuente de proyecto de los entornos activos como máximo en quince (15) días naturales en las condiciones del artículo 11, con posible conservación temporal en copias de seguridad y residuos técnicos dentro del límite de noventa (90) días, salvo excepción legal o técnica justificada.
Frecuencia
Tratamientos continuos o puntuales según el uso de la plataforma, los pedidos, los proyectos, el soporte, las operaciones técnicas y las funcionalidades activadas.
Herramientas / servicios afectados
Plataforma indris.studio, infraestructura Google Cloud / Firebase, servicios de almacenamiento, autenticación, bases de datos, ejecución aplicativa, registros, seguridad, soporte y, en su caso, Vertex AI u otras funcionalidades relacionadas con inteligencia artificial.
Localización principal
Unión Europea, en particular región europe-west4 (Países Bajos) según los componentes utilizados, sin perjuicio de transferencias o accesos puntuales encuadrados conforme al artículo 16.
Anexo 2. Medidas técnicas y organizativas de seguridad
Control de acceso lógico
Accesos restringidos a personas autorizadas según sus funciones y necesidades operativas.
Gestión de autorizaciones
Asignación, revisión y retirada de permisos en función de las necesidades del servicio, cambios de función y finalización de misiones.
Autenticación fuerte para accesos de administrador
Uso de mecanismos reforzados, como autenticación multifactor, para accesos administrativos cuando sea aplicable.
Autenticación de usuarios del servicio
Gestión de cuentas, sesiones y autenticación de usuarios mediante mecanismos técnicos apropiados a la plataforma.
Política de contraseñas y seguridad de credenciales
Protección de contraseñas o credenciales mediante mecanismos adecuados, evitando su almacenamiento en claro cuando se gestionen por Indris Studio.
Cifrado de datos en tránsito
Uso de protocolos de comunicación seguros para proteger los datos durante su transmisión.
Cifrado de datos en reposo
Uso de mecanismos de cifrado o protección proporcionados por la infraestructura técnica utilizada, cuando sea aplicable.
Segregación de entornos
Separación razonable de entornos, datos, cuentas o espacios de proyecto para limitar accesos no autorizados.
Registro
Conservación de registros técnicos y de seguridad razonablemente necesarios para trazabilidad, diagnóstico, seguridad y prueba.
Detección y gestión de incidentes
Procedimientos razonables de detección, análisis, contención, resolución y seguimiento de incidentes de seguridad.
Actualizaciones y parches
Mantenimiento razonable de los componentes técnicos y aplicación de actualizaciones o parches pertinentes según los riesgos.
Supervisión de alertas técnicas
Seguimiento de alertas técnicas, errores, anomalías o eventos relevantes para la seguridad y continuidad del servicio.
Seguridad de puestos de trabajo
Medidas razonables de protección de los equipos utilizados por personas autorizadas de Indris Studio.
Confidencialidad interna
Obligaciones de confidencialidad aplicables a personas autorizadas y limitación de accesos según necesidad de conocer.
Gestión de subencargados
Selección y encuadramiento contractual de subencargados que intervengan en los tratamientos cubiertos por el DPA.
Copias de seguridad y continuidad técnica
Uso de mecanismos de copia de seguridad, redundancia o continuidad técnica proporcionados por los servicios e infraestructuras utilizados.
Pruebas de restauración
Verificaciones razonables de capacidad de restauración cuando sea aplicable al perímetro técnico controlado por Indris Studio.
Revisión periódica de accesos
Revisión razonable y periódica de accesos administrativos o sensibles.
Supresión de datos y copias locales
Procedimientos de supresión de datos fuente, copias locales y residuos técnicos dentro de los límites técnicos, legales y contractuales aplicables.
Anexo 3. Lista de subencargados autorizados
Google LLC y/o entidades competentes de Google según el servicio - Google Cloud / Firebase
Servicios afectados: alojamiento, almacenamiento, bases de datos, autenticación, ejecución aplicativa, seguridad, registros, supervisión y componentes técnicos necesarios para la plataforma.
Finalidad: prestación, seguridad, disponibilidad, mantenimiento y soporte técnico del servicio.
Localización principal: Unión Europea según los componentes utilizados, en particular europe-west4 (Países Bajos), sin perjuicio de transferencias encuadradas conforme a la documentación contractual aplicable.
Google LLC y/o entidades competentes de Google según el servicio - Vertex AI
Servicios afectados: funcionalidades de inteligencia artificial o asistencia técnica a la producción de entregables visuales, cuando sean utilizadas para la prestación.
Finalidad: asistencia técnica a la creación y tratamiento de contenidos necesarios para la prestación, bajo control humano y dentro del perímetro contractual aplicable.
Documentación: términos, documentación de seguridad, condiciones de tratamiento de datos y mecanismos de transferencia aplicables a los servicios Google Cloud / Vertex AI.
Anexo 4. Procedimientos operativos RGPD
1. Objeto y ámbito
El presente anexo define procedimientos operativos relativos a incidentes y violaciones de datos, ejercicio de derechos de personas interesadas, restitución, supresión y conservación residual de datos.
2. Procedimiento de incidentes / violaciones
2.1 Punto de contacto del encargado
El punto de contacto de Indris Studio para incidentes o cuestiones RGPD será la dirección comunicada al Cliente o, en su defecto, privacy@indris.studio.
2.2 Punto de contacto del Cliente
El Cliente deberá comunicar a Indris Studio un punto de contacto adecuado para recibir notificaciones y comunicaciones relativas a protección de datos.
2.3 Canales de notificación y seguimiento
Las notificaciones podrán realizarse por correo electrónico o por cualquier otro canal escrito razonablemente adecuado teniendo en cuenta la urgencia y naturaleza del incidente.
2.4 Notificación inicial
Indris Studio notificará al Cliente sin dilación indebida una violación de datos personales que afecte a los tratamientos cubiertos por el DPA, cuando haya tenido conocimiento de ella.
2.5 Información mínima
La notificación incluirá, cuando esté disponible, la naturaleza del incidente, datos y personas afectadas, fecha o período estimado, consecuencias probables, medidas adoptadas y contacto de seguimiento.
2.6 Actualizaciones y cooperación
Indris Studio proporcionará información adicional a medida que esté disponible y cooperará razonablemente con el Cliente para analizar, documentar y remediar el incidente.
2.7 Cierre del incidente
Cuando el incidente esté contenido o resuelto, Indris Studio podrá comunicar al Cliente los elementos de cierre razonablemente disponibles, incluidas medidas correctoras o preventivas adoptadas.
2.8 Trazabilidad
Indris Studio podrá conservar elementos de trazabilidad relativos al incidente durante el plazo necesario para la seguridad, prueba, cumplimiento legal o defensa de derechos.
3. Procedimiento relativo a derechos de personas interesadas
3.1 Ámbito
Este procedimiento se aplica a solicitudes relativas a datos personales tratados por Indris Studio por cuenta del Cliente en el marco del servicio.
3.2 Canales de recepción
Las solicitudes pueden recibirse directamente por el Cliente o, de forma incidental, por Indris Studio a través de canales de soporte, contacto o privacidad.
3.3 Transmisión al Cliente
Cuando Indris Studio reciba una solicitud relativa a datos tratados por cuenta del Cliente, la transmitirá razonablemente al Cliente, salvo instrucción documentada distinta u obligación legal aplicable.
3.4 Asistencia razonable
Indris Studio prestará al Cliente una asistencia técnica razonable, dentro de los límites del servicio, para localizar, exportar, suprimir o restringir datos cuando sea técnicamente posible y esté relacionado con el tratamiento cubierto por el DPA.
3.5 Primeros plazos de respuesta al Cliente
Indris Studio procurará proporcionar una primera respuesta al Cliente dentro de un plazo razonable, teniendo en cuenta la urgencia, complejidad y disponibilidad de la información técnica.
3.6 Límites técnicos y operativos
La asistencia de Indris Studio se limita a los datos y sistemas bajo su control razonable. No sustituye la apreciación jurídica del Cliente sobre la admisibilidad o alcance de la solicitud de la persona interesada.
4. Restitución, supresión y conservación residual
4.1 Principio general
Al finalizar la prestación o el contrato, los datos personales tratados por cuenta del Cliente serán restituidos, exportados, suprimidos o hechos inaccesibles conforme al DPA y a las instrucciones documentadas aplicables.
4.2 Restitución estándar
La restitución podrá efectuarse mediante descarga, exportación, puesta a disposición u otro medio técnicamente razonable definido por Indris Studio.
4.3 Exclusiones de la restitución
La restitución no incluirá necesariamente archivos fuente internos de Indris Studio, herramientas, escenas de trabajo, prompts, versiones intermedias, registros técnicos internos, elementos de seguridad o información protegida de terceros.
4.4 Supresión rápida de datos fuente de proyecto
Los datos fuente del proyecto se suprimirán de los entornos activos en el plazo previsto por el artículo 11, salvo excepción legal, técnica o contractual aplicable.
4.5 Entregables finales y conservación operativa limitada
Los entregables finales podrán conservarse o ponerse a disposición durante el plazo necesario para permitir al Cliente acceder a la prestación, ejecutar el contrato, conservar pruebas o defender derechos.
4.6 Copias de seguridad y residuos técnicos
Los datos suprimidos de entornos activos pueden permanecer temporalmente en copias de seguridad, mecanismos de recuperación, registros, cachés o residuos técnicos no modificables inmediatamente.
Durante este período:
- siguen protegidos por medidas de seguridad y confidencialidad adecuadas;
- no se vuelven a poner en producción, consultan, extraen ni utilizan, salvo necesidad técnica estricta relativa a continuidad del servicio, restauración, seguridad, conservación de pruebas o cumplimiento de obligación legal o reglamentaria;
- se suprimen o hacen definitivamente inaccesibles según el ciclo normal de retención aplicable, sin exceder de noventa (90) días desde la supresión de los entornos activos, salvo restricción legal o técnica debidamente justificada.
4.7 Conservación residual mínima
Como excepción, Indris Studio podrá conservar determinados datos o información estrictamente necesarios:
- para cumplir una obligación legal o reglamentaria;
- para constatar, ejercer o defender sus derechos;
- para gestionar un incidente de seguridad, litigio, auditoría o solicitud de una autoridad competente;
- para conservar elementos técnicos mínimos necesarios para la integridad, seguridad o prueba de operaciones realizadas.
Los datos así conservados se limitarán a lo estrictamente necesario, seguirán sujetos a las obligaciones aplicables de confidencialidad y seguridad y no podrán utilizarse para finalidades incompatibles.
4.8 Certificado de supresión
A solicitud escrita razonable del Cliente, Indris Studio proporcionará un certificado de supresión o confirmación escrita contractualmente equivalente que cubra las operaciones de supresión realizadas en entornos activos y sistemas directamente administrados por Indris Studio en relación con el servicio.
En su caso, dicho certificado confirmará que los datos afectados han sido retirados del acceso operativo y borrados de los entornos activos operados por Indris Studio, sin perjuicio de:
- datos cuya conservación siga siendo exigida por el presente DPA, una obligación legal o reglamentaria, o la necesidad de constatar, ejercer o defender derechos;
- mecanismos residuales técnicos temporales no directamente administrables por Indris Studio que puedan existir a nivel de infraestructura o de servicio de sus subencargados.
El certificado de supresión no constituirá una certificación autónoma de purga instantánea de todos los mecanismos internos de caché, replicación, registro, copia de seguridad o retención técnica propios de proveedores de infraestructura terceros.
5. Valor contractual
El presente anexo forma parte integrante del DPA. Desde su adopción, sustituye y agrupa los antiguos anexos relativos a:
- el procedimiento de incidentes / violaciones;
- el procedimiento de derechos de las personas;
- la política de restitución / supresión.